Windos平台入侵檢測配置 Snort

2021-08-31 02:06:37 字數 2879 閱讀 9774

整理不少,已出錐形。

使用到的工具:

apache+php+mysql 配置前面有

因為我是在虛擬機器上做的測試

就1個c盤 圖就不截了

1:安裝winpcap_4_1_2.zip

2:安裝snort

我安裝到c:\snort\

cd c:\snort\bin

snort.exe -w   檢視網絡卡

應該是看不到的 重啟計算機就可以看到了

3:匯入資料

mysql我是安裝在c:\mysql

cd c:\mysql\bin\

mysql -u root -p   enter:password

creat database snort

creat database acid

建立2個資料庫

匯入資料

mysql -d snort -u -p < c:\snort\schemas\create_mysql

mysql -d acid -u  -p < c:\snort\schemas\create_mysql

4:使用者許可權設定

我是直接在phpadmin下設定的

新建2使用者 snort acid 密碼賬戶相同 賦給snort acid 對應資料庫許可權

5:安裝adodb

解壓adodb360.zip

把adodb放在home目錄下

6:安裝jpgrapg庫

說明:php我直接放在c:\php下

把jpgrapg檔案放到c:\php\目錄下

7:安裝acid

解壓放到c:\home下 目錄為acid

修改acid的配置檔案

配置完後

http://localhost/acid 訪問會提示執行資料庫

執行完後 可以看到acid的介面了

8:安裝snort規則庫

解壓把裡面的規則複製到c:\snort\rules\

9:  修改snort配置檔案

c:\snort\etc\snort.conf

----------------------------------- 修改

include classification.config

include reference.config

改為絕對路徑

include c:\snort\etc\classification.config

include c:\snort\etc\reference.config

設定snort輸出

output database: log,mysql, user=snort password=snort dbname=snort

host=localhost

var home_net any   --修改 192.168.1.0/24

var rule_path c:\snort\rules   規則檔案

dynamicpreprocessor directory  c:/snort/lib/snort_dynamicpreprocessor ----修改目錄路徑

dynamicengine c:/snort/lib/snort_dynamicengine/sf_engine.dll  ----注意"/","\"問題

在'# output log_tcpdump: tcpdump.log' 下插入下一行:

output alert_fast: alert.ids

10: 啟動snort

c:\snort\bin\

snotr 可以直接執行

c:\snort\bin>snort -c "c:\snort\etc\snort.conf" -l "c:/snort/log" -i 1 -d

-e -x

載入snort.conf執行 

引數說明:

-x 引數用於在資料鏈結層記錄raw packet 資料

-d 引數記錄應用層的資料

-e 引數顯示/記錄第二層報文頭資料

-c 引數用以指定snort

的配置檔案的路徑

-i 指明監聽的網路介面。

執行的時候很容易出錯 看錯誤提示更改就ok了

入侵檢測之基於主機入侵檢測系統

一般主要使用 作業系統的審計 跟蹤日誌 作為資料來源,某些也會主動與主機系統進行互動以 獲得不存在於系統日誌中的資訊 以檢測入侵。這種型別的檢測系統不需要額外的硬體 對網路流量不敏感,效率高,能準確定位入侵並及時進行反應,但是占用主機資源,依賴於主機的可靠性,所能檢測的攻擊型別受限。不能檢測網路攻擊...

IDS入侵檢測

ids是英文 intrusion detection systems 的縮寫,中文意思是 入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統的執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機密性 完整性和可用性。我們做乙個形象的比喻 假如 防火牆是一幢大...

入侵檢測系統

網路入侵概念 入侵檢測 通過計算機網路或計算機系統的關鍵點收集資訊並進行分析,從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統 ids 入侵檢測是軟體與硬體的組合,是防火牆的合理補充,是防火牆之後的第二道安全閘門。檢測的內容 試圖闖入,成功闖入,冒充其他使用者,違反安全策略,...